在 Linux 系统的部署场景中传统做法通常是先下载镜像文件到本地磁盘,再通过 dd 或其他工具写入目标块设备。然而 Unix “一切皆文件” 的设计哲学允许我们直接将网络流写入块设备,跳过中间存储环节。本文以实际项目为例,探讨如何实现可直接 wget | dd 写入的极简 Linux 发行版,解析其核心工程挑战与实现路径。

块设备直接写入的原理与可行性

在 Linux 中,/dev/sda/dev/nvme0n1 等块设备节点本质上也是文件系统中的特殊文件。写入这些文件时,数据会直接绕过文件系统缓存,直达物理磁盘。这一特性使得 curl https://example.com/image.img > /dev/sda 成为可能 —— 网络下载的字节流通过管道直接写入块设备,整个过程无需任何中间临时文件。

这种安装方式在 EFI 系统上尤为便捷。EFI 固件会自动扫描磁盘上的 EFI 系统分区(ESP),发现新的启动加载器后会自动将其纳入启动选项。这意味着即使完全覆盖了原有系统盘,机器重启后仍能正确进入新系统,无需额外执行 efibootmgr 命令进行启动项配置。

实现这一方案的核心前提是拥有一个预先配置好的可启动磁盘镜像。该镜像需要包含 bootloader、Linux 内核、initramfs 以及根文件系统,并且所有分区布局必须符合目标机器的硬件规格。通常可以通过在 QEMU 虚拟机中安装目标系统,然后导出原始磁盘镜像(raw image)来获取。

initramfs 精简与启动引导流程

Linux 启动过程涉及多层状态转换,理解这一流程是构建极简发行版的关键。系统加电后,BIOS 或 UEFI 首先执行 bootloader(如 GRUB),由 bootloader 负责将内核镜像和 initramfs 加载到内存中。随后内核启动并解压 initramfs 到 tmpfs 文件系统,然后以 PID 1 执行其中的 /init 脚本。

initramfs 本质上是一个 cpio 归档文件,内部包含一个完整的最小化根文件系统。这个临时文件系统的主要职责包括:加载必要的存储驱动以识别磁盘、挂载真实的根文件系统、通过 switch_root 切换到真实根目录、最后 exec 成真正的 init 进程。传统发行版的 initramfs 通常会包含大量用于磁盘检测、文件系统检查、加密解密等的脚本和工具。

对于追求极致精简的发行版,我们可以大幅裁剪 initramfs 的内容。由于目标是直接从网络流写入磁盘后再启动,实际的根文件系统本身已经存在于镜像中,initramfs 只需要具备以下能力:识别目标磁盘设备、加载必要的文件系统驱动、以只读方式挂载根分区、然后执行 switch_root 进入新系统。这意味着可以移除大多数 systemd 服务、文件系统检查工具、加密相关库等组件,将 initramfs 体积压缩到几兆字节甚至更小。

系统构建的工程实践

构建可直接写入的磁盘镜像需要解决几个工程问题。首先是镜像大小的控制 —— 如果镜像过大,网络传输时间会显著增加,同时占用过多磁盘空间。可以通过 truncate 命令创建固定大小的原始磁盘镜像,在 QEMU 中安装系统后再适当调整。

# 创建 10GB 原始磁盘镜像
truncate -s 10G disk.img

# 在 QEMU 中启动安装程序
qemu-system-x86_64 \
    -hda ./disk.img \
    -m 2G \
    -enable-kvm \
    -nic user \
    -serial mon:stdio

镜像制作完成后,可以选择直接通过 HTTP 服务分发。对于压缩需求,可以使用 gzip 或 zstd 等工具在线压缩,接收端通过管道解压后写入磁盘。

在实际部署场景中,一个常见挑战是目标机器上正在运行操作系统时无法直接卸载根分区。解决方案是使用救援镜像(rescue image)引导机器。多数 Linux 发行版的安装镜像都包含完整的工具链和网络连接能力,可以直接进入救援模式执行磁盘覆盖操作。例如 Contabo 等云服务商提供基于 Debian 的救援系统,用户通过控制台进入后即可执行 wget -O- > /dev/sda 类型的命令。

进阶:initramfs 内的原位重装

更有趣的探索是在不借助外部救援镜像的情况下完成原位重装。原理是这样的:系统启动时进入 initramfs 阶段后,真实的根分区尚未挂载。此时可以手动挂载根分区,利用其中已存在的工具(如 curl)从网络下载新镜像,并直接覆盖磁盘。

具体操作流程如下:系统在启动时传递空的 root 参数,引导进入 initramfs 的调试 shell。手动挂载根分区后,使用 chroot 进入该环境执行网络下载。由于 chroot 只影响命令执行的根目录视角,而管道重定向在 shell 层面处理,因此可以执行 chroot /mnt curl -v http://server/image.img > /dev/sda 这样的命令 ——curl 在 chroot 环境中运行并读取磁盘上的库文件,但输出流直接指向块设备。

这种做法的成功依赖于几个因素:initramfs 环境中已包含必要的内核模块可以识别磁盘;chroot 后可以访问磁盘上的可执行文件和共享库;写入过程中只有 curl 进程本身在访问磁盘,不会因并发访问导致数据损坏。Linux 的延迟加载(demand paging)机制也确保了 curl 的代码页面在开始下载前已全部加载到内存。

工程参数与监控要点

若要在生产环境中实现类似方案,以下参数值得关注。镜像分发推荐使用 zstd 压缩,相比 gzip 可获得 20% 左右的体积节省,同时解压性能相近。写入磁盘时的块大小(bs 参数)建议使用 1M 或 4M,可以显著提升写入速度。网络传输时结合 pv 工具可以实时监控进度: curl http://server/image.img.zst | zstd -d | dd of=/dev/sda bs=1M status=progress

镜像构建阶段应确保 EFI 分区(ESP)位于磁盘起始位置,大小建议 512MB,格式化为 FAT32。GRUB 安装需要针对目标机器的引导模式(BIOS 或 UEFI)选择合适的模块。根分区建议使用 ext4 以获得最佳的兼容性支持。

安全层面需要注意的是,这种直接覆盖方式会完全销毁原系统数据,需要提前做好备份验证。此外,由于整个写入过程无法中断(中断将导致磁盘损坏),建议在可靠的电源环境下操作,或使用不间断电源保护。

资料来源:本文技术细节主要参考 astrid.tech 上关于 curl > /dev/sda 的系列博客文章,该作者详细记录了实现极简 Linux 发行版并通过管道直接写入磁盘的完整过程。